Owah-owahan ala dideteksi ing paket NPM node-ipc (CVE-2022-23812), kanthi kemungkinan 25% yen isi kabeh file sing duwe akses nulis diganti karo karakter "❤️". Kode angkoro diaktifake mung nalika diluncurake ing sistem kanthi alamat IP saka Rusia utawa Belarus. Paket node-ipc duwe sekitar yuta undhuhan saben minggu lan digunakake minangka ketergantungan ing 354 paket, kalebu vue-cli. Kabeh proyek sing duwe node-ipc minangka dependensi uga kena pengaruh masalah kasebut.
Kode angkoro dikirim menyang repositori NPM minangka bagéan saka node-ipc 10.1.1 lan 10.1.2 rilis. Owah-owahan ala dikirim menyang repositori Git proyek atas jenenge penulis proyek 11 dina kepungkur. Negara kasebut ditemtokake ing kode kanthi nelpon layanan api.ipgeolocation.io. Tombol sing diakses menyang ipgeolocation.io API saka embed angkoro saiki wis dicabut.
Ing komentar kanggo bebaya babagan munculé kode dubious, penulis proyek kasebut nyatakake yen owah-owahan kasebut nambahake file menyang desktop sing nampilake pesen sing njaluk perdamaian. Nyatane, kode kasebut nindakake telusuran rekursif direktori kanthi upaya kanggo nimpa kabeh file sing ditemoni.
Rilis saka node-ipc 11.0.0 lan 11.1.0 banjur dikirim menyang repositori NPM, sing ngganti kode angkoro sing dibangun kanthi ketergantungan eksternal, "peacenotwar," sing dikontrol dening penulis sing padha lan ditawakake kanggo dilebokake dening pengelola paket sing pengin. kanggo melu protes. Disebutake yen paket peacenotwar mung nampilake pesen babagan perdamaian, nanging kanthi njupuk tindakan sing wis ditindakake dening penulis, isi paket kasebut ora bisa ditebak lan ora ana owah-owahan sing ngrusak ora dijamin.
Ing wektu sing padha, nganyari kanggo cabang stabil node-ipc 9.2.2, sing digunakake dening project Vue.js, dirilis. Ing rilis anyar, saliyane peacenotwar, paket warna uga ditambahake menyang dhaptar dependensi, sing penulis nggabungake owah-owahan destruktif menyang kode ing Januari. Lisensi sumber kanggo rilis anyar wis diganti saka MIT dadi DBAD.
Wiwit tumindak penulis luwih ora bisa ditebak, pangguna node-ipc dianjurake kanggo ndandani dependensi ing versi 9.2.1. Sampeyan uga dianjurake kanggo ndandani versi kanggo pembangunan liyane dening penulis padha sing maintained 41 paket. Sawetara paket sing dikelola dening penulis sing padha (js-queue, easy-stack, js-message, event-pubsub) duwe sekitar yuta undhuhan saben minggu.
Tambahan: Upaya liyane kanggo nambah tindakan menyang macem-macem paket sing mbukak sing ora ana hubungane karo fungsi langsung aplikasi lan ana hubungane karo Alamat IP utawa lokal sistem. Owah-owahan sing paling ora mbebayani (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) yaiku nampilake panggilan kanggo mungkasi perang kanggo pangguna ing Rusia lan Belarus. Nanging, manifestasi sing luwih mbebayani uga wis diidentifikasi, kayata ransomware sing ditambahake ing modul AWS Terraform lan watesan politik sing ditambahake ing lisensi. Firmware Tasmota kanggo piranti ESP8266 lan ESP32 ngemot backdoor sing bisa mblokir operasi piranti. Aktivitas kasebut dipercaya bisa ngrusak kepercayaan marang piranti lunak sumber terbuka kanthi serius.
Source: opennet.ru
